.png)
F5 침해 사고의 내부: 국가가 후원하는 사이버 공격에 대해 우리에게 주는 교훈
국가가 후원하는 사이버 공격은 정부 표적을 훨씬 넘어 경제의 모든 부문으로 확대되고 있습니다.
주로 사이버 스파이 활동에 집중했던 이러한 작전에는 이제 중요 인프라에 대한 파괴적인 공격도 포함됩니다. 이들은 종종 사이버 범죄 그룹과 함께 활동합니다.
이러한 공격자들은 인내심이 강하고 은밀하며 자금력이 풍부합니다. 제로데이 취약점을 악용합니다. 네트워크를 통해 측면으로 이동합니다. 최악의 경우 몇 달 동안 탐지되지 않을 수도 있습니다.
사이버 보안 업계는 보안 팀이 이러한 지능형 공격을 방어할 수 있도록 지원하는 데 큰 진전을 이루었습니다. 하지만 지금 자신의 재산에서 누가 활동 중인지 제대로 알고 있는 수비수가 얼마나 될까요? 그리고 어떤 위험한 조합이 이미 익스플로잇된 상태인지 확인할 수 있는 사람은 얼마나 될까요?
공격자가 일단 액세스 권한을 얻으면 빠르게 확산될 수 있습니다. 그리고 경계 방어만으로는 모든 공격을 막을 수 없습니다.
최근 보안 공급업체 F5의 보안 침해 사고가 대표적인 예입니다. 이 사례는 성숙하고 충분한 자금을 갖춘 보안 프로그램 내부에서도 공격자가 어떻게 단일 거점을 통해 고가의 자산에 접근할 수 있는지를 보여주는 사례 연구입니다.
이번 유출이 왜 그토록 교훈적인지, 그리고 오늘날 국가가 후원하는 캠페인에 대해 무엇을 알려주는지 자세히 살펴보겠습니다. 자세히 살펴보겠습니다:
- 전개 방식
- 현대의 국가 국가 공격에 대해 밝혀낸 사실
- 일루미오 인사이트가 더 빠르게 탐지, 억제, 차단하는 데 도움이 되는 방법
F5 침해에 대해 알고 있는 사실
2025년 8월에 발견된 이 침해는 위협 행위자인 UNC5221에 의해 수행되었습니다. 이 그룹은 중국과의 연계가 의심되며 고도의 전술을 사용하는 것으로 알려져 있습니다.
UNC5221은 F5의 BIG-IP 제품 개발 및 엔지니어링 지식 환경에 진입했습니다. 공격자는 BIG-IP 소스 코드, 공개되지 않은 취약점(중요하지 않거나 원격으로 악용할 수 없는 취약점)에 대한 세부 정보, 고객 구성 데이터의 일부분을 훔쳤습니다.
공격자가 코드를 변조했다는 증거는 없습니다. 하지만 도난당한 취약점 데이터는 향후 제로데이 익스플로잇을 가능하게 할 수 있습니다.
침해가 발생한 후 F5는 대응 계획을 시작했습니다. 영향을 받은 BIG-IP 고객은 CrowdStrike Falcon 엔드포인트 탐지 및 대응(EDR) 보호 서비스를 1년간 제공받습니다.
일루미오 인사이트의 지원 방법
CrowdStrike로 F5 자산을 모니터링하는 것은 강력한 첫 단계입니다. 그러나 동서 트래픽이 어떻게 작동하는지, 서브넷, 가상 프라이빗 클라우드(VPC), 가상 네트워크(VNet)에서 위험한 서비스를 드러내지는 않습니다. 또한 네트워크에서 측면으로 이동하는 공격자를 차단하는 데 도움이 되지 않습니다.
공격자는 일단 액세스 권한을 획득하면 워크로드, 서브넷, 가상 네트워크 전반으로 이동합니다. 가장 큰 위험은 동서 방향 트래픽에 있습니다. 대부분의 방어 조직이 간과하는 내부 시스템 간 통신이 바로 이 부분입니다.
동서 방향 트래픽을 볼 수 없거나 그 맥락을 이해할 수 없다면 트래픽을 제어할 수 없습니다. 심층적인 가시성과 컨텍스트가 없으면 공격자는 사용자 환경 전반을 자유롭게 이동할 수 있습니다.
하지만 보안 그래프 기반의 인사이트를 통해 전체 자산을 시각화하고, 악용되기 전에 숨겨진 위험을 발견하고, 악의적인 행동을 신속하게 탐지하여 그 영향을 최소화할 수 있습니다.
일루미오 인사이트를 사용하여 F5 침해와 같은 공격을 예방하고 차단하는 방법은 다음과 같습니다.
1단계: 인사이트 허브에서 악성 IP 연결 검토하기
악성 IP 주소는 종종 침해의 첫 번째 지표가 됩니다. 인사이트는 위협 인텔리전스를 사용하여 알려진 악성 행위자 및 의심스러운 외부 연결을 표시합니다.
이를 검토하면 도움이 됩니다:
- 조기 정찰 또는 지휘통제(C2) 활동 감지
- 위협 심각도에 따른 조사 우선순위 지정
- 위험한 대상과 통신하는 워크로드 식별
이러한 인사이트를 종합하면 조기 경보 시스템을 구축할 수 있습니다. 잠재적인 침해가 확대되기 전에 이를 발견할 수 있도록 도와줍니다.
2단계: 사용 중인 모든 위험 서비스 평가하기
공격자는 종종 측면으로 이동하거나 더 높은 권한을 얻기 위해 원격 액세스 도구를 표적으로 삼습니다. 정기적으로 이러한 서비스가 어떻게 사용되는지 검토하여 사용할 수 있도록 하세요:
- 무단 액세스 시도 또는 비정상적인 로그인 방법을 탐지합니다.
- 사용자 환경에 속하지 않는 섀도 IT 또는 안전하지 않은 원격 액세스 도구를 발견하세요.
- 시간 경과에 따른 사용량 변화를 추적하세요.
시간 경과에 따른 활동을 비교하면 네트워크의 정상 기준선을 파악하고 손상을 나타낼 수 있는 이상 징후를 빠르게 발견할 수 있습니다.
예를 들어, 보안 셸 프로토콜(SSH) 연결이 갑자기 급증하면 문제가 있다는 신호일 수 있습니다. 또한 의심스러운 활동을 알려진 인시던트 또는 알림과 연결하여 조사에 유용한 컨텍스트를 추가할 수 있습니다.
아래 예에서는 지난 24시간 동안 Rustdesk 연결이 급증한 것을 확인할 수 있습니다. 이는 분명 살펴볼 가치가 있는 이상 징후입니다.
AI 보안 그래프는 트래픽과 그 관계를 모두 보여줌으로써 중요한 컨텍스트를 추가합니다. 이는 중요한 질문을 제기합니다. 러스트데스크가 사용자 자산에 연결되는 이유는 무엇인가요? 이러한 활동이 합법적인 활동인가요, 아니면 타협의 징후인가요?
다음으로, 여기서 문제의 워크로드를 가상 데스크톱 인프라(VDI) 자산으로 좁힐 수 있습니다: VDI-Illumio-001.
또한 트래픽이 보안 제어를 우회했는지 확인할 수 있습니다.
3단계: 워크로드 데이터 전송 평가
지난 24시간과 이전 24시간 등 다양한 시간대의 데이터 전송량을 비교하면 비정상적인 급증이나 패턴을 파악하는 데 도움이 됩니다. 이는 데이터 도난 또는 랜섬웨어를 위한 준비 단계일 수 있습니다.
이 단계는 크게 세 가지 측면에서 도움이 됩니다. 먼저, 데이터 흐름의 정상적인 양과 방향을 결정하여 기준선을 만듭니다. 또한 외부 또는 신뢰할 수 없는 목적지로의 전송에 대한 컨텍스트도 제공합니다. 마지막으로, 경계 제어를 우회할 수 있는 피어 투 피어 트래픽을 표시합니다.
이 데이터를 F5 침해와 같이 알려진 공격 타임라인과 정렬하면 활동이 어떻게 전개되었는지 확인하고, 공격자의 단계를 역추적하고, 조사에 신속하게 집중할 수 있습니다. 전송이 시작된 시점과 의심스러운 로그인 또는 원격 데스크톱 프로토콜(RDP) 또는 Rustdesk 사용과 같은 위험한 활동과 일치하는지 여부를 추적할 수 있습니다.
4단계: 리소스 그래프를 사용하여 의심스러운 트래픽 식별하기
동서 방향 교통은 간과하기 쉽습니다. 하지만 측면 움직임을 감지하는 데는 매우 중요합니다.
인사이트 리소스 그래프가 도움이 됩니다:
- 워크로드, VPC, VNet, 서비스가 어떻게 연결되는지 시각화하세요.
- 개발과 프로덕션 등 환경 간의 예상치 못한 연결을 발견하세요.
- 세분화 정책을 우회하는 워크로드를 식별하세요.
인사이트에서 인바운드 Rustdesk 트래픽이 발생한 VDI 워크로드를 추가로 조사할 수 있습니다. 스크린샷 오른쪽 상단에 있는 격리 버튼은 다음 단계에서 사용하게 됩니다.
인사이트는 잠재적 영향을 평가하는 데 필요한 컨텍스트를 제공합니다. 스스로에게 물어보세요: 고객 관계 관리(CRM) 시스템이나 고객 기록에 무단으로 액세스할 수 있는 권한이 있습니까?
6단계: 원클릭 차단을 사용하여 공격 확산을 제한하고 포렌식 분석 지원
Rustdesk 연결이 급증하거나 비정상적인 동서 트래픽과 같은 의심스러운 활동을 감지할 때는 시간이 매우 중요합니다.
기존의 격리 방식은 수동 방화벽 변경이나 복잡한 오케스트레이션이 필요한 경우가 많아 몇 시간 또는 며칠이 걸릴 수 있습니다.
격리 버튼을 통해 액세스할 수 있는 원클릭 격리는 이러한 역학을 변경합니다. 이를 통해 보안팀은 더 넓은 환경을 방해하지 않고 손상된 워크로드를 즉시 격리할 수 있습니다.
원클릭으로 격리할 수 있습니다:
- 측면 이동을 즉시 중지합니다. 공격자가 사용자 환경에 더 깊이 침투하거나 민감한 워크로드에 접근하는 것을방지하세요.
- 포렌식 증거를 보존하세요. 격리는 활성 위협을 차단하면서 조사를 위해 손상된 시스템을 그대로 유지합니다.
- 폭발 반경을 줄입니다. 전체 세그먼트나 애플리케이션이 아닌 단일 워크로드에 미치는 영향을 제한하세요.
- 응답 속도를 높입니다. 여러 단계의 수동 프로세스를 단 한 번의 결정적인 작업으로 전환하세요.
7단계: 인사이트 에이전트를 사용하여 조사 보고서 검토 및 생성하기
전체 조사 프로세스의 속도를 높여주는 디지털 비서가 있다고 상상해 보세요. 인사이트 에이전트는 명확성을 확보하고 위반을 차단하는 가장 빠른 길입니다.
이 기능이 강력한 이유는 다음과 같습니다:
- 자동화된 조사. 에이전트는 클라우드 규모의 네트워크 데이터와 워크로드 통신을 지속적으로 모니터링합니다. AI 보안 그래프를 적용하여 인프라 전반의 운영을 즉시 상호 연관시켜 위협을 발견합니다.
- 컨텍스트가 풍부한 보고서. 각 역할에 맞는 심각도 등급 분석을 생성합니다. 예를 들어 위협 헌터, 대응자, 규정 준수 분석가는 각각 자신의 업무와 관련된 인사이트를 얻을 수 있습니다. 모든 발견 사항은 추가적인 컨텍스트를 위해 MITRE ATT&CK 프레임워크에 매핑됩니다.
- 사전 예방적 권장 사항. 탐지를 넘어 위험을 줄이기 위한 우선순위 격리 조치와 세분화 정책을 제안하여 인사이트부터 실행까지 안내합니다.
- 원클릭으로 통합된 격리 기능. 탐지는 문제 해결로 원활하게 이어집니다. 손상된 워크로드를 즉시 격리할 수 있습니다. 일루미오 세분화와 기본적으로 통합되므로 호스트 에이전트에 의존하지 않고 격리할 수 있습니다.
인사이트 에이전트를 사용하면 팀은 사후 대응적인 분류에서 사전 예방적인 해결로 전환할 수 있습니다. 이를 통해 알림 노이즈를 차단하고, 실행 가능한 명확성을 확보하고, 위협이 확대되기 전에 차단할 수 있습니다.
시계가 똑딱거리고 있습니다.
F5 침해 사고는 은밀하고 끈질기게 국가가 후원하는 공격자들에 의해 누구나 당할 수 있음을 보여줍니다.
침해가 발견될 때쯤이면 공격자는 이미 중요한 데이터를 훔치고 환경을 매핑하여 다음 공격을 위한 토대를 마련했을 수 있습니다.
기존의 방어 체계는 이러한 종류의 적을 위해 구축되지 않았습니다. 방화벽, 엔드포인트 도구, 경계 기반 모니터링으로는 국가가 후원하는 캠페인의 속도와 교묘함을 따라잡을 수 없습니다.
지금 방어자에게 필요한 것은 깊고 지속적인 가시성입니다. 네트워크에서 무엇이 들어오고 나가는지뿐만 아니라 네트워크 내에서 무엇이 움직이는지 알아야 합니다.
이것이 바로 인사이트와 새로운 AI 기반 인사이트 에이전트의 힘입니다. 이 두 가지를 함께 사용하면 보안 팀에 컨텍스트, 속도, 정밀성을 제공하여 측면 이동을 조기에 감지하고 위협을 빠르게 차단할 수 있습니다.
국가가 후원하는 공격은 줄어들지 않고 있습니다. 하지만 더 빠르고, 더 스마트하고, 더 효과적으로 대응할 수 있습니다. 모든 사람은 다음 F5 스타일의 침해가 이미 네트워크에서 일어나고 있는 것처럼 대비해야 합니다. 실제로 일어날 수 있기 때문입니다.
다음 침해 사고가 발생하여 사각지대가 드러날 때까지 기다리지 마세요. 경험 Illumio Insights 오늘 무료입니다.
.webp)
